【防火墙技术连载9】强叔侃墙 攻击防范篇 单包攻击及防御

[复制链接]
发表于 : 2014-4-11 16:48:32 最新回复:2017-07-24 10:41:46
24610 23
强叔侃墙
强叔侃墙 官方号

大家好,强叔又和你见面了。前几期里,强叔带领大家了解了防火墙的基本安全特性,知道了防火墙的基本作用是保护特定网络免受“不信任”网络的攻击,提到“攻击”,就不能不说说DoS/DDoS攻击,防范DoS/DDoS攻击是防火墙的基本安全功能。从今天开始,在接下来的几期里,强叔将带领大家一起去学习一下防火墙支持的单包攻击、流量型攻击和应用层攻击的防御。


九十年代,攻击随着互联网的蓬勃发展从实验室走向了Internet。全球的攻击爱好者由于共同的信仰“Open Free Share(开源、免费、共享)”建立了同盟,很多年以后这帮人被叫做“黑客”。最初的黑客一般都是一些高级的技术人员,他们热衷于挑战、崇尚自由并主张信息的共享。随着Internet在全球的迅猛发展,***、经济、军事、科技、教育、文化、生活等各个方面都逐渐网络化,信息已经成为物质和能量以外维持人类社会的第三资源,黑客也逐渐变成了一种有特殊目的的产业。


什么是DoS攻击?

DoSDenial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。

那么, “拒绝服务”是什么意思呢?下面我们就打个形象的比喻。

街边有一个小餐馆为大家提供餐饮服务,但是这条街上有一群地痞总是对餐馆搞破坏,比如:霸占着餐桌不让其他客人吃饭也不结账、或者堵住餐馆的大门不让客人进门,甚至骚扰餐馆的服务员或者厨师不让他们正常干活,这样餐馆就没有办法正常营业了,这就是“拒绝服务”。Internet中的计算机或者服务器就像是这个餐馆一样,为Internet用户提供互联网资源,如果黑客想要对这些计算机或者服务器进行DoS攻击的话,也使用消耗计算机或服务器性能、抢占链路带宽等手段!


最常见的DoS攻击就是我们常常提到的单包攻击。这类攻击一般都是以个人为单位的黑客发动的,攻击报文也比较单一,虽然破坏力强大,但是只要掌握了攻击的特征,防御起来还是比较容易的。

防火墙支持的单包攻击包括以下三大类:

  • 畸形报文攻击:通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时系统崩溃。
  • 扫描类攻击:是一种潜在的攻击行为,并不具备直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。   
  • 特殊控制报文攻击:也是一种潜在的攻击行为,不具备直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发动真正的攻击做准备。


单包攻击防御是防火墙具备的最基本的防范功能,华为全系列防火墙都支持对单包攻击的防御。下面强叔就带大家认识几种典型的单包攻击,一起了解下华为防火墙是如何防范这些攻击的。

Ping of Death攻击及防御

操作系统处理数据包的大小是有限制的,IP报文的长度字段为16位,即IP报文的最大长度为65535。如果遇到大小超过65535的报文,会出现内存分配错误,从而使接收方的计算机系统崩溃。Ping of Death攻击就是攻击者不断的通过Ping命令向攻击目标发送超过65535的报文,就可以使目标计算机的TCP/IP堆栈崩溃,致使接收方系统崩溃。

防火墙在处理Ping of Death攻击报文时,是通过判定数据包的大小是否大于65535字节,如果数据包大于65535字节,则判定为攻击报文,直接丢弃。

Land攻击及防御

Land攻击是指攻击者向受害者发送伪造的TCP报文,此TCP报文的源地址和目的地址同为受害者的IP地址。这将导致受害者向它自己的地址发送回应报文,从而造成资源的消耗。

防火墙在处理Land攻击报文时,通过检查TCP报文的源地址和目的地址是否相同,或者TCP报文的源地址是否为环回地址,如果是则丢弃。

IP地址扫描攻击

IP地址扫描攻击是攻击者运用ICMP报文(如PingTracert命令)探测目标地址,或者使用TCP/UDP报文对一定地址发起连接,通过判断是否有应答报文,以确定哪些目标系统确实存活着并且连接在目标网络上。

防火墙对收到的TCPUDPICMP报文进行检测,当某源IP地址连续发送报文的目的IP地址与前一个报文的目的IP地址不同时,则记为一次异常,当异常次数超过预定义的阈值时,则认为该源IP的行为为IP地址扫描行为,防火墙会将该源IP地址加入黑名单。

可以看出,IP地址扫描攻击并没有直接造成什么恶劣后果,它只是一种探测行为,通常是为了后续发动破坏性攻击做准备,尽管如此,这种行为我们防火墙也不会放过的。

从以上几种攻击及防御手段,我们可以发现,单包攻击一般都具有明显的特征,所以防火墙在防御单包攻击时,只要匹配了攻击特征,就可以很容易防御。


配置建议

防火墙支持的单包攻击防御种类繁多,在现网使用过程中,哪些需要配置,或者哪些不建议配置一直困扰着大家。下面强叔就为大家列举一下,哪几种攻击建议开启,哪几种攻击的防御不建议开启? 


建议开启的单包攻击防御一般是现网比较常见的攻击,这种攻击开启以后,防火墙可以很好的进行防御,对性能等方面没有影响。而扫描类攻击在防御过程中比较消耗防火墙的性能,所以不建议开启。


其实,单包攻击在现网中所占的比例并不高,现网中最主流,也让人们最头疼的攻击其实是DDoS攻击。DDoS攻击种类比较多,华为防火墙支持的DDoS攻击包括SYN Flood、UDP Flood、ICMP Flood等流量型攻击,以及HTTP Flood、HTTPS Flood、DNS Flood等应用层攻击下一期强叔就为大家介绍DDoS攻击中最常见的SYN Flood攻击及防御,敬请期待。


强叔提问

大家现在每天都会上网,网络攻击和我们的生活息息相关,那么大家都听说或遇到过什么样的攻击呢?高手们有没有用过什么攻击工具模拟过攻击报文?


 

上一篇 安全策略篇 ASPF:隐形通道

下一篇 攻击防范篇 流量型攻击之SYN Flood及防御

汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
HUAWEI_Rjzr
HUAWEI_Rjzr   发表于 2014-5-2 15:36:06 已赞(0) 赞(0)

持续关注!

  • x
  • 常规:

点评 回复

HUAWEI_Rjzr
HUAWEI_Rjzr   发表于 2014-5-2 16:14:57 已赞(0) 赞(0)

Land攻击是指攻击者向受害者发送伪造的TCP报文,此TCP报文的源地址和目的地址同为受害者的IP地址。这将导致受害者向它自己的地址发送回应报文,从而造成资源的消耗。

 

Land攻击报文是如何发送的呢?TCP报文的源地址和目的地址与IP报文的不同吗?

  • x
  • 常规:

点评 回复

她的猫
她的猫   发表于 2014-5-5 14:10:23 已赞(0) 赞(0)

攻击程序制造的特殊报文
  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-5-7 11:34:47 已赞(0) 赞(0)

回复 8 楼

一般都是攻击工具或者攻击程序构造的报文
  • x
  • 常规:

点评 回复

fcm
fcm  精英 发表于 2014-4-11 16:55:55 已赞(0) 赞(0)

攻击的模似不好做,应该做一下工具出来!
  • x
  • 常规:

点评 回复

x00151571
x00151571   发表于 2014-4-11 17:18:46 已赞(0) 赞(0)

原来DOS攻击只是让服务器无法工作了,并不能让黑客入侵网络。那就是俗称的损人不利己的捣乱呗!

  • x
  • 常规:

点评 回复

强叔侃墙
强叔侃墙 官方号 发表于 2014-4-11 17:33:25 已赞(0) 赞(0)

回复 3 楼

看起来攻击是损人不利己,其实不是这样,比如它可以用于商业目的,竞争对手之间的攻击,一旦攻击成功,可能会给被攻击者造成巨大的经济损失。很多企业、IDC都曾饱受过攻击的困扰,所以攻击防范已成为一种必备的安全功能。
  • x
  • 常规:

点评 回复

马儿快跑
马儿快跑   发表于 2014-4-11 17:36:54 已赞(0) 赞(0)

看了“拒绝服务”的形象比喻才明白了是咋回事,强盗一伙啊^_^

  • x
  • 常规:

点评 回复

小修
小修   发表于 2014-5-9 17:59:36 已赞(0) 赞(0)

我想问不建议开启的单包防御有啥场景下需要么?要不做这功能作甚呢?

  • x
  • 常规:

点评 回复

123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录